SAML認証とは?画像多めで解説!
クマノくらげ
クマノブログ
【図解】セッションとは初心者向けに解説【IT用語】
クマノくらげ
セッションって何?
Webログインしたのに、次のページに行ったらまたログインを求められるサイトがあったんだけど、、、
「セッション」がうまくいっていないサイトみたいだね。それがうまく設定されていないと毎回ログアウトしているようなものなんだ。
それは面倒だね。。今のサイトはどこもその「セッション」ていうのがしっかりしているからいちいちログインしなくてもいいようになっているんだ。
「セッション」に関係する用語周りをディズニーへの入場に例えてみたよ。
セッションがあると何が便利?
セッションは「再入場用のスタンプやチケット」なんだね。毎回入場処理をしなくていいんだね。
そう、だから毎回ログインを求められるサイトは、乗り物に乗った後、ディズニーランドを毎回退園しているようなものなんだ。
「セッション」があるとログイン(入場状態)が続いて便利だね!
そうだね。でもこの「セッション」があるからこそ起こる問題もあるんだよ。
正しくログアウトをしないと何が問題?
問題・・・?
あ、でも確かに時間が経ったら勝手にログアウトされるサイトがあるし、仕事でも使い終わったら必ずログアウトしろと言われるサービスがあるよ。
ログアウトしないと、セッションが残ったままになるよね。これは再入場できるチケットがある状態なんだけど、これを盗まれてなりすまされちゃう可能性があるんだ
ディズニーランドの再入場券ならともかく、Amazonとか個人情報てんこ盛りのサイトの情報が撮られるのはまずいね・・・。でも、ログインしたままPCを放置しなければこんなこと起こらないよね?
それがそんなことはないんだ。セッション乗っ取りと行って、本人ではない人が、他人のログイン状態を使って不正にアクセスする方法があるよ。
代表的なセッション乗っ取りとその対策
フリーWi-Fiとかよく使うんだけど。。。
使うなとは言わないけど、フリーWi-Fiを使っているときは銀行のサイトとかは使わないようにしようね。
ユーザー側ができる対策
- 共用PCを使用しているときは必ずログアウトする
- 不審なリンクは開かない
- 公共Wi-Fiでは重要な操作をしない
- 二要素認証を行うようにする
二要素認証ってなんだっけ?
ログインするときに「ID+パスワード」だけでなく、指紋とか、スマホに送られてきたトークンを使う方法だね。
セッションID(再入場券)をそのまま盗まれた場合は二要素認証は関係ないんだけど、ID+パスワードを盗まれて今後、なりすまして入場され放題になるのを防ぐことができるよ。
サイト運営側ができる対策
- 一定時間操作がなければログアウトされる設定をする
- HTTPSを使う
- CookieにSecure属性・HttpOnly属性を付ける
- ログアウト時にセッションを無効化する
- 怪しいログインを検知する
「一定時間操作がなければログアウトされる設定」はよく見るなぁ。これはセキュリティ上の対策だったんだね
アイドルセッションタイムアウトというよ。サイト上これが設定されていればユーザー側がうっかりしていても被害を防げる可能性があるよ。ユーザーで設定できる場合もあるから設定できるサイトなら設定してみようね。
ログアウト忘れをしないようにするから、前回の記事で言うところのフールプルーフに当たる設定ということかな
そうだね。「人がミスしても事故になりにくくする設計」だからフールプルーフで良さそうだね。
「フェールセーフ」も「異常時に安全側へ倒す」設計だから、異常(ログインしたまま操作がない)から安全(ログアウト状態)へ倒しているので、フェールセーフの考えも含んでいるね。
まとめ
- セッションは、Webサイトでログイン状態を保つための便利な仕組み。
- ただし、セッションが盗まれると本人になりすまされ情報が盗まれる。
- 共有パソコンではログアウトや二要素認証などの対策が必要。
ABOUT ME
難しいIT用語やビジネス用語を、できるだけ身近な例えで解説するブログです。
「専門用語を見ると眠くなる人」でも読めるように、画像や会話形式を多めにしています。
AWS12冠達成済み。
